La Corea del Nord porta avanti una campagna di cyber attacchi e spionaggio contro aziende in 3 settori: finanza, aerospaziali e telecomunicazioni. Lo ha rivelato prima il Computer Emergency response Team (CERT) Usa in un Joint Techical Alert (TA).
Poi, in un Malware Analysis Report (MAR). Gli hacker di Pyongyang sfruttano 2 varianti di un Trojan: BADCALL e HARDRAIN. Secondo il dipartimento della Homeland Security (DHS) e l’FBI Usa, lo fanno insieme a server proxy, per mantenere una presenza nei network delle vittime e per cercare al contempo nuove vulnerabilità al loro interno. In passato avevano impiegato un Remote Administration Tool (RAT), chiamato FALLCHILL. Le azioni di cyberwarfare e spionaggio informatico sono state chiamate “Hidden Cobra”. Entrambi i malware sfruttano 3 file eseguibili: 2 che fungono da Proxy su Windows, implementando un metodo “Fake TLS”. Il terzo è un Executable Linkable Format (ELF) progettato per girare su Android come un RAT.
Come funzionano i due Trojan di Pyongyang: BADCALL e HARDRAIN sui computer
Gli hacker della Corea del Nord stanno usando specificatamente i due Trojan BADCALL e HARDRAIN per aprire i Firewall Windows sulle macchine delle vittime alle loro connessioni e forzare i sistemi compromessi a fungere da server proxy. Il cyber army di Pyongyang maschera le sessioni affinché appaiano come TLS/SSL reali, usando certificati legittimi. Questi, però, al loro interno contengono il malware. Una volta stabilita la comunicazione tra l’operatore e il server proxy, questa viene crittata con un codice non identificato. Il malware invia agli aggressori una serie di dati tra cui la versione del sistema operativo della macchina bersaglio: le informazioni sul processore, il nome del sistema, l’indirizzo IP locale, l’ID unico generato e l’indirizzo per il media access control (MAC). Grazie a queste e altre info, gli aggressori del regime di Kim Jong-un, assumendo il controllo di un sistema, possono rubare dati sensibili e compromettere o sabotare i network.
Che succede ai dispositivi Android infettati con i malware degli hacker di Kim Jong-un
Le analisi riportate dal MAR Usa hanno rilevato che il malware diffuso dagli hacker della Corea del Nord per Android ha capacità specifiche. Può registrare telefonate, scattare fotografie, leggere i dati dal contact manager, nonché scaricare o caricare dati dall’apparecchio mobile compromesso. Inoltre, le cyber spie di Pyongyang sono in grado di far eseguire comandi al dispositivo ed effettuare scansioni per canali Wi-Fi aperti. Peraltro, secondo lo US-CERT, la campagna di cyberwarfare di Hidden Cobra va avanti almeno dal 2016, anche se nel tempo sono cambiati i tool usati. Non è chiaro quale gruppo del cyber army del paese sia coinvolto, ma diversi ricercatori di sicurezza informatica sospettano che anche in questo sia Lazarus. La formazione è il braccio cibernetico principale delle attività illecite della nazione asiatica nel cyberspazio e opera a 360 gradi. Dal furto di denaro per finanziare il programma ICBM di Pyongyang a cyber spionaggio e attacchi.
La pagina dello US-CERT su Hidden Cobra con i due Malware Analysis Report su BADCALL e HARDRAIN